Dual-Hub DMVPN (Dynamic Multipoint VPN) - Настройка Hub-&-Spoke подключения, GRE over IPsec-туннели

Больше
7 года 1 мес. назад #39 от TOLLIFi
COM_KUNENA_MESSAGE_REPLIED_NEW
По Interface Tunnel не полная инфа показана. Возможно с маршрутизацией проблемы, надо доп. инфу:

-1. sh proc cpu sort | ex 0\.00
0. sh log
1. sh ip nhrp summary
2. sh ip nhrp traffic
3. sh ip traffic interface <tunnel X> (здесь можешь проследить, по какому протоколу болше всего трафика ходит за ед. времени)
4. sh ip traffic interface <tunnel X source interface> (см.выше)
5. sh int <tunnel X source interface>
6. sh int <tunnel X source interface> summary
7. sh int <tunnel X source interface> switching
8. какое IPsec шифрование исп.?

IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
7 года 1 мес. назад #40 от TOLLIFi
COM_KUNENA_MESSAGE_REPLIED_NEW
проверь OSPF-настройки: holdown, keepalive и т.п д.б. одинаковы в сети.
Еще покажи:
sh ip ospf ne

IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
4 года 9 мес. назад - 4 года 9 мес. назад #171 от PNV
COM_KUNENA_MESSAGE_REPLIED_NEW
Дополнение по поводу NHRP.

Если SPOKE-маршрутизатор использует внешний IP-адрес, который выдается ему по DHCP, то этот внешний адрес периодически меняется и туннель обрывается на довольно длительное время (до нескольких минут), а влогах появляется ошибка:

"%NHRP-3-PAKREPLY: Receive Registration Reply packet with error - unique address registered already(14)" error message

Данная ошибка возникает из-за того, что данный SPOKE с тем же локальным адресом регистрируется на NHS (HUB) с новым NBMA-адресом (внешним адресом) до того, как на HUB-е по тайм-ауту стерлась из кэша прошлая запись о внешнем адресе данного NBMA-узла. Поэтому новая регистрация отбрасывается.
Для того, чтобы HUB сразу стирал старую запись и перезаписывал её на новую, при повторной регистрации конкретного SPOKE, нужно на этом SPOKE сделать настройку на туннельном интерфейсе:

interface tunnel1
ip nhrp registration no-unique
Last edit: 4 года 9 мес. назад by PNV.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
4 года 8 мес. назад #174 от PNV
COM_KUNENA_MESSAGE_REPLIED_NEW
Ещё дополнение.

Иногда в логах спока можно увидеть подобную ошибку:

%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=20.1.1.2, prot=50, spi=0xB761863E(3076621886)

И в связи с этой ошибкой, бывает периодически отваливается VPN туннель, но не всегда.

Дабы исключить подобный периодичный разрыв туннеля, в конфиг спока необходимо добавить строчку:

crypto isakmp invalid-spi-recovery

Более подробно о данной ошибке можно почитать во вложении.

Это сообщение содержит прикрепленные файлы.
Пожалуйста, войдите или зарегистрируйтесь, чтобы увидеть их.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Работает на Kunena форум